ここ10ヶ月ぐらいだろうか、偶にWindows 7のシャットダウンに失敗することがある。次回起動時に「Windows は予期しないシャットダウンから回復しました」というダイアログが表示される。「問題の詳細の表示」で詳細情報を見てみると、「問題イベント名 BlueScreen」「BCCode 9f」となっている。
「BCCode 9f」はDRIVER_POWER_STATE_FAILUREを意味する。Windowsカーネルの電源絡みの状態遷移(スタンバイ ・休止への移行や復帰、シャットダウンなど)にデバイスドライバが正しく対応できていない際に発生するようだ*1。
乱暴に言ってしまえば「何かのデバイスないしデバイスドライバが悪い!」ということだ。ということなのだが、このダイアログは普通の人にとって何を言っているのか分からない代物なので、単純に「Windowsが悪い!」と結論付けてしまいそうな気がする。
まあ、このダイアログは普通ではない人(プログラマとか)でさえも面食らう代物だからなあ。そもそもBCCodeとかBCP1とか、何の意味か分からない*2。
それはさておき、問題は「どのデバイスドライバが原因なのか」である。これはダイアログからは分からない。詳細情報の後ろの方に「この問題の説明に役立つファイル」という項目があり、そのファイルを見る必要がある。
今回は以下の2つだった。
- C:\Users\fabrico\AppData\Local\Temp\WER-40207557-0.sysdata.xml
- C:\Windows\Minidump\112614-36395-01.dmp
これらのファイルの名前は環境や問題発生のタイミングによって異なるようだ。私の環境では、WER-40207557-0.sysdata.xmlは毎度同じ名前だが、112614-36395-01.dmpはエラー発生の度に異なる名前になっている*3。
さて、試しに解析してみようか。
このファイル、見れないぞっ
はい、いきなりつまづきました。
WER-40207557-0.sysdata.xmlをエディタ等で開こうとすると、ファイルへのアクセスが拒否される。この問題は、このファイルを別のフォルダにコピーして、コピーしたものを開けばよい。
112614-36395-01.dmpについては、そもそもエクスプローラではC:\Windows\Minidumpにアクセスできない。これは、コマンドプロンプトを管理者権限で起動すれば、当該フォルダの中を見れるし、112614-36395-01.dmpにアクセスすることができる。
WER-40207557-0.sysdata.xmlの中身
WER-40207557-0.sysdata.xmlはXMLファイルだ。UNICODEに対応したテキストエディタ等で中身を確認できる。
ざっと見た感じ、システムに組み込まれているデバイスドライバのファイル(拡張子sys)の一覧のようだ。
このファイルの内容はそれなりに重要ではあるが、「BCCode 9fの原因を調査する」という観点では、これ単体ではあまり役に立たない。後で112614-36395-01.dmpを解析する際に必要となる……かもしれない。
112614-36395-01.dmpの中身
112614-36395-01.dmpはメモリダンプのファイルだ。バイナリファイルなので、バイナリエディタやWindows用のデバッグツールで開くしかない。
112614-36395-01.dmpを解析するツール
112614-36395-01.dmpを解析するにあたり、まとまった解説文書がなくて四苦八苦した。
クラッシュが発生した場合は、Windows によって作成される、最小メモリ ダンプ ファイルを読み取る方法を見たところ、dumpchk.exe・kd.exe・windbg.exeなどを使って解析すればよいらしい。
これらのツールはWindows 7には入っていない。現在ではWDK(Windows Driver Kit)ないしWindows SDKをインストールしないと入手できないようだ。
今回はWDKインストール済みのPCだったので、それに付属するものを使用した。
dumpchk.exeによる解析の試み
dumpchk.exeについてはDumpchk.exe を使用してメモリ ダンプ ファイルをチェックする方法というサポート情報があるが、正直なところコマンドオプションの説明程度の内容で、これだけでは使い方がよく分からない。
ひとまず色々なサイトを参考に、こんな感じで実行してみた。
C:\>C:\WinDDK\7600.16385.1\Debuggers\dumpchk.exe -e C:\Windows\Minidump\112614-36395-01.dmp Loading dump file C:\Windows\Minidump\112614-36395-01.dmp Microsoft (R) Windows Debugger Version 6.12.0002.633 AMD64 Copyright (c) Microsoft Corporation. All rights reserved. Loading Dump File [C:\Windows\Minidump\112614-36395-01.dmp] Mini Kernel Dump File: Only registers and stack trace are available DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?00000000`00000000? DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?00000000`00000000? DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?fffff8a0`03d6d5a2? DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?fffff8a0`02d26c32? DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?fffff8a0`00217462? DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?fffff800`00b9a3c0? Symbol search path is: *** Invalid *** **************************************************************************** * Symbol loading may be unreliable without a symbol search path. * * Use .symfix to have the debugger choose a symbol path. * * After setting your symbol path, use .reload to refresh symbol locations. * **************************************************************************** Executable search path is: ********************************************************************* * Symbols can not be loaded because symbol path is not initialized. * * * * The Symbol Path can be set by: * * using the _NT_SYMBOL_PATH environment variable. * * using the -y <symbol_path> argument when starting the debugger. * * using .sympath and .sympath+ * ********************************************************************* Unable to load image \SystemRoot\system32\ntoskrnl.exe, Win32 error 0n2 *** WARNING: Unable to verify timestamp for ntoskrnl.exe *** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe Windows 7 Kernel Version 7601 (Service Pack 1) MP (4 procs) Free x64 Product: WinNt, suite: TerminalServer SingleUserTS Built by: 7601.18526.amd64fre.win7sp1_gdr.140706-1506 Machine Name: Kernel base = 0xfffff800`0364e000 PsLoadedModuleList = 0xfffff800`03891890 Debug session time: Wed Nov 26 22:40:19.853 2014 (UTC + 9:00) System Uptime: 0 days 12:48:36.680 ********************************************************************* * Symbols can not be loaded because symbol path is not initialized. * * * * The Symbol Path can be set by: * * using the _NT_SYMBOL_PATH environment variable. * * using the -y <symbol_path> argument when starting the debugger. * * using .sympath and .sympath+ * ********************************************************************* Unable to load image \SystemRoot\system32\ntoskrnl.exe, Win32 error 0n2 *** WARNING: Unable to verify timestamp for ntoskrnl.exe *** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe Loading Kernel Symbols ............................................................... ................................................................ ......................................... Loading User Symbols Loading unloaded module list ................ ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* Use !analyze -v to get detailed debugging information. BugCheck 9F, {3, fffffa800c794700, fffff80000b9a3d8, fffffa800fe5ed60} ***** Kernel symbols are WRONG. Please fix symbols to do analysis. ************************************************************************* *** *** *** *** *** Your debugger is not using the correct symbols *** *** *** *** In order for this command to work properly, your symbol path *** *** must point to .pdb files that have full type information. *** *** *** *** Certain .pdb files (such as the public OS symbols) do not *** *** contain the required information. Contact the group that *** *** provided you with these symbols if you need this command to *** *** work. *** *** *** *** Type referenced: nt!_IRP *** *** *** ************************************************************************* (中略) ************************************************************************* *** *** *** *** *** Your debugger is not using the correct symbols *** *** *** *** In order for this command to work properly, your symbol path *** *** must point to .pdb files that have full type information. *** *** *** *** Certain .pdb files (such as the public OS symbols) do not *** *** contain the required information. Contact the group that *** *** provided you with these symbols if you need this command to *** *** work. *** *** *** *** Type referenced: nt!_KPRCB *** *** *** ************************************************************************* Probably caused by : ntoskrnl.exe Followup: MachineOwner --------- Finished dump check C:\>
何やら「シンボルの読み込みに失敗した」みたいなメッセージが頻出している。デバッグ用のシンボルファイルが見つからないようだ。正しく解析できているのか、ちょっと判断できない。
シンボルファイルどこにあるのだろうか? もしかして、インストールする等の準備が必要なのだろうか?
調べてみたところMicrosoft のシンボル サーバーを使用して、デバッグ シンボル ファイルを入手するにはというサポート情報があった。自動的にMicrosoftのサーバからシンボルファイルをダウンロードして使用することが可能らしい。
この情報を元に、ダウンロードしたシンボルファイルの置き場所としてC:\tmp\symを用意した上で、オプションを変更してもう一度dumpchk.exeを実行してみた。
C:\>C:\WinDDK\7600.16385.1\Debuggers\dumpchk.exe -y "symsrv*symsrv.dll*c:\tmp\sym*http://msdl.microsoft.com/download/symbols" C:\Windows\Minidump\112614-36395-01.dmp Loading dump file C:\Windows\Minidump\112614-36395-01.dmp Microsoft (R) Windows Debugger Version 6.12.0002.633 AMD64 Copyright (c) Microsoft Corporation. All rights reserved. Loading Dump File [C:\Windows\Minidump\112614-36395-01.dmp] Mini Kernel Dump File: Only registers and stack trace are available DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?00000000`00000000? DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?00000000`00000000? DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?fffff8a0`03d6d5a2? DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?fffff8a0`02d26c32? DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?fffff8a0`00217462? DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?fffff800`00b9a3c0? Symbol search path is: symsrv*symsrv.dll*c:\tmp\sym*http://msdl.microsoft.com/download/symbols Executable search path is: Windows 7 Kernel Version 7601 (Service Pack 1) MP (4 procs) Free x64 Product: WinNt, suite: TerminalServer SingleUserTS Built by: 7601.18526.amd64fre.win7sp1_gdr.140706-1506 Machine Name: Kernel base = 0xfffff800`0364e000 PsLoadedModuleList = 0xfffff800`03891890 Debug session time: Wed Nov 26 22:40:19.853 2014 (UTC + 9:00) System Uptime: 0 days 12:48:36.680 Loading Kernel Symbols ............................................................... ................................................................ ......................................... Loading User Symbols Loading unloaded module list ................ ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* Use !analyze -v to get detailed debugging information. BugCheck 9F, {3, fffffa800c794700, fffff80000b9a3d8, fffffa800fe5ed60} Unable to load image \SystemRoot\system32\DRIVERS\VBoxNetAdp.sys, Win32 error 0n2 *** WARNING: Unable to verify timestamp for VBoxNetAdp.sys *** ERROR: Module load completed but symbols could not be loaded for VBoxNetAdp.sys Probably caused by : ntkrnlmp Followup: MachineOwner --------- ----- 64 bit Kernel Mini Dump Analysis DUMP_HEADER64: MajorVersion 0000000f MinorVersion 00001db1 KdSecondaryVersion 00000000 DirectoryTableBase 00000000`00187000 PfnDataBase fffff800`038fb278 PsLoadedModuleList fffff800`03891890 PsActiveProcessHead fffff800`03873590 MachineImageType 00008664 NumberProcessors 00000004 BugCheckCode 0000009f BugCheckParameter1 00000000`00000003 BugCheckParameter2 fffffa80`0c794700 BugCheckParameter3 fffff800`00b9a3d8 BugCheckParameter4 fffffa80`0fe5ed60 KdDebuggerDataBlock fffff800`0383d0a0 ProductType 00000001 SuiteMask 00000110 WriterStatus 00000000 MiniDumpFields 00000cff TRIAGE_DUMP64: ServicePackBuild 00000100 SizeOfDump 000ed930 ValidOffset 000ed92c ContextOffset 00000348 ExceptionOffset 00000f00 MmOffset 00002080 UnloadedDriversOffset 000020d0 PrcbOffset 00002458 ProcessOffset 00007158 ThreadOffset 00007628 CallStackOffset 00007ad0 SizeOfCallStack 000008e8 DriverListOffset 000086f8 DriverCount 000000a9 StringPoolOffset 0000e608 StringPoolSize 000038f8 BrokenDriverOffset 00000000 TriageOptions ffffffff TopOfStack fffff800`00b9a388 BStoreOffset 00000000 SizeOfBStore 00000000 LimitOfBStore 00000000`00000000 DebuggerDataOffset 000083b8 DebuggerDataSize 00000340 DataBlocksOffset 00011f00 DataBlocksCount 000000c0 fffff800`00b9a3d8 - fffff800`00b9a3f7 at offset 00012b00 fffff800`038692d8 - fffff800`03869317 at offset 00012b20 fffff800`03873d30 - fffff800`03873d4f at offset 00012b60 fffffa80`0e575160 - fffffa80`0e57517f at offset 00012b80 fffffa80`11e75ce0 - fffffa80`11e75cff at offset 00012ba0 fffff800`03873680 - fffff800`03873697 at offset 00012bc0 fffff880`009fab98 - fffff880`009fabaf at offset 00012bd8 fffff880`009f3b98 - fffff880`009f3baf at offset 00012bf0 fffff880`09189b98 - fffff880`09189baf at offset 00012c08 fffff880`0929ab98 - fffff880`0929abaf at offset 00012c20 fffff880`059feb98 - fffff880`059febaf at offset 00012c38 fffff880`092e0b98 - fffff880`092e0baf at offset 00012c50 fffff880`092b6b98 - fffff880`092b6baf at offset 00012c68 fffff880`091c4b98 - fffff880`091c4baf at offset 00012c80 fffffa80`0c6f3d90 - fffffa80`0c6f3ddf at offset 00012c98 fffffa80`0d27d780 - fffffa80`0d27d7b7 at offset 00012ce8 fffffa80`0c7a1830 - fffffa80`0c7a187f at offset 00012d20 fffffa80`0c7aa1d0 - fffffa80`0c7aa1f7 at offset 00012d70 fffff8a0`001df930 - fffff8a0`001df93f at offset 00012d98 fffffa80`0c770b60 - fffffa80`0c770baf at offset 00012da8 fffffa80`0c772520 - fffffa80`0c772547 at offset 00012df8 fffffa80`0c779d90 - fffffa80`0c779ddf at offset 00012e20 fffffa80`0c732720 - fffffa80`0c73273f at offset 00012e70 fffffa80`0c794430 - fffffa80`0c79447f at offset 00012e90 fffffa80`0c7326a0 - fffffa80`0c7326bf at offset 00012ee0 fffff8a0`000ab6e0 - fffff8a0`000ab6f7 at offset 00012f00 fffffa80`0d11b060 - fffffa80`0d11b1af at offset 00012f18 fffffa80`0d11b1b0 - fffffa80`0d11b21f at offset 00013068 fffffa80`0c6e6cb0 - fffffa80`0c6e6dff at offset 000130d8 fffffa80`0c6c2010 - fffffa80`0c6c2027 at offset 00013228 fffffa80`0c732bd0 - fffffa80`0c732d57 at offset 00013240 fffffa80`0c732d58 - fffffa80`0c732dc7 at offset 000133c8 fffffa80`0c789290 - fffffa80`0c7893df at offset 00013438 fffffa80`0c751840 - fffffa80`0c751867 at offset 00013588 fffffa80`0c6c4040 - fffffa80`0c6c418f at offset 000135b0 fffffa80`0c6c4190 - fffffa80`0c6c41ff at offset 00013700 fffffa80`0c770e30 - fffffa80`0c770f8f at offset 00013770 fffffa80`0c770f90 - fffffa80`0c770fff at offset 000138d0 fffffa80`0c778e70 - fffffa80`0c778fbf at offset 00013940 fffffa80`0c732750 - fffffa80`0c732777 at offset 00013a90 fffffa80`0c732e10 - fffffa80`0c732f87 at offset 00013ab8 fffffa80`0c732f88 - fffffa80`0c732ff7 at offset 00013c30 fffffa80`0c778c40 - fffffa80`0c778d9f at offset 00013ca0 fffffa80`0c778da0 - fffffa80`0c778e0f at offset 00013e00 fffffa80`0c794700 - fffffa80`0c79485f at offset 00013e70 fffffa80`0c794860 - fffffa80`0c7948cf at offset 00013fd0 fffffa80`0eaee050 - fffffa80`0eaef8bf at offset 00014040 fffff880`0175e9b0 - fffff880`0175eb67 at offset 000158b0 fffffa80`0e2d6010 - fffffa80`0e2d630f at offset 00015a68 fffffa80`0d267010 - fffffa80`0d2677bf at offset 00015d68 fffffa80`0e1c79f0 - fffffa80`0e1c7cef at offset 00016518 fffffa80`0f2c88d0 - fffffa80`0f2c907f at offset 00016818 fffffa80`100cb680 - fffffa80`100cb97f at offset 00016fc8 fffffa80`100de600 - fffffa80`100dedaf at offset 000172c8 fffffa80`1010a010 - fffffa80`1010a30f at offset 00017a78 fffffa80`1011c8d0 - fffffa80`1011d07f at offset 00017d78 fffffa80`1011dad0 - fffffa80`1011ddcf at offset 00018528 fffffa80`101158d0 - fffffa80`1011607f at offset 00018828 fffffa80`0e812d60 - fffffa80`0e812f6f at offset 00018fd8 fffffa80`0d260c80 - fffffa80`0d260ff7 at offset 000191e8 fffffa80`0e814b60 - fffffa80`0e814d6f at offset 00019560 fffffa80`0d25da40 - fffffa80`0d25ddb7 at offset 00019770 fffffa80`0eaf0cd0 - fffffa80`0eaf0ff7 at offset 00019ae8 fffffa80`0d266ba0 - fffffa80`0d26700f at offset 00019e10 fffffa80`0e193820 - fffffa80`0e193837 at offset 0001a280 fffffa80`0e2d6310 - fffffa80`0e2d631f at offset 0001a298 fffff880`04806390 - fffff880`0480639f at offset 0001a2a8 fffffa80`0e7ea648 - fffffa80`0e7ea6b7 at offset 0001a2b8 fffffa80`0c731130 - fffffa80`0c731147 at offset 0001a328 fffffa80`0e7de060 - fffffa80`0e7de1af at offset 0001a340 fffffa80`0e7ea4f0 - fffffa80`0e7ea647 at offset 0001a490 fffffa80`0e7eb5c8 - fffffa80`0e7eb637 at offset 0001a5e8 fffffa80`0e274bc0 - fffffa80`0e274bf7 at offset 0001a658 fffffa80`0e26fd20 - fffffa80`0e26fe6f at offset 0001a690 fffffa80`0e7eb390 - fffffa80`0e7eb5c7 at offset 0001a7e0 fffffa80`0e876aa0 - fffffa80`0e876b0f at offset 0001aa18 fffffa80`0e8286d0 - fffffa80`0e8286ef at offset 0001aa88 fffffa80`0e827590 - fffffa80`0e8276df at offset 0001aaa8 fffffa80`0e876940 - fffffa80`0e876a9f at offset 0001abf8 fffff880`036e1500 - fffff880`036e1537 at offset 0001ad58 fffff880`019886b0 - fffff880`019886b7 at offset 0001ad90 fffffa80`0e14b010 - fffffa80`0e14b84f at offset 0001ad98 fffffa80`0c733548 - fffffa80`0c733557 at offset 0001b5d8 fffff880`01987360 - fffff880`0198739f at offset 0001b5e8 fffffa80`0f2be010 - fffffa80`0f2be80f at offset 0001b628 fffffa80`0e18a8a0 - fffffa80`0e18a8b7 at offset 0001be28 fffffa80`0e1c7cf0 - fffffa80`0e1c7cff at offset 0001be40 fffffa80`100dedb0 - fffffa80`100df53f at offset 0001be50 fffffa80`10037a40 - fffffa80`10037a57 at offset 0001c5e0 fffffa80`100cb980 - fffffa80`100cb98f at offset 0001c5f8 fffffa80`1011ed90 - fffffa80`1011f58f at offset 0001c608 fffffa80`100a2c10 - fffffa80`100a2c27 at offset 0001ce08 fffffa80`1010a310 - fffffa80`1010a31f at offset 0001ce20 fffffa80`1012e010 - fffffa80`1012e80f at offset 0001ce30 fffffa80`100e25b0 - fffffa80`100e25c7 at offset 0001d630 fffffa80`1011ddd0 - fffffa80`1011dddf at offset 0001d648 fffffa80`0d25d710 - fffffa80`0d25df0f at offset 0001d658 fffffa80`0e26ec10 - fffffa80`0e26ec27 at offset 0001de58 fffffa80`0e812fe8 - fffffa80`0e812ff7 at offset 0001de70 fffffa80`0e812f70 - fffffa80`0e812f9f at offset 0001de80 fffffa80`0d260b10 - fffffa80`0d260b97 at offset 0001deb0 fffffa80`0d260b00 - fffffa80`0d260b0f at offset 0001df38 fffffa80`0d1f5460 - fffffa80`0d1f5c5f at offset 0001df48 fffffa80`0e6cb840 - fffffa80`0e6cb857 at offset 0001e748 fffffa80`0e814de4 - fffffa80`0e814df3 at offset 0001e760 fffffa80`0e814d70 - fffffa80`0e814d97 at offset 0001e770 fffffa80`0d1f9d00 - fffffa80`0d1f9d7f at offset 0001e798 fffffa80`0d1f9cf0 - fffffa80`0d1f9cff at offset 0001e818 00000000`00000000 - ffffffff`ffffffff at offset 0001e828 00000000`00000000 - ffffffff`ffffffff at offset 0001e828 fffff8a0`0f150840 - fffff8a0`0f1508ff at offset 0001e828 fffffa80`0eaf08a0 - fffffa80`0eaf08ef at offset 0001e8e8 fffffa80`0eaf0890 - fffffa80`0eaf089f at offset 0001e938 fffffa80`0d25e020 - fffffa80`0d26001f at offset 0001e948 fffffa80`0eaef8c0 - fffffa80`0eaef92f at offset 00020948 fffffa80`0eadd670 - fffffa80`0eadd7bf at offset 000209b8 fffffa80`0eae5820 - fffffa80`0eae5847 at offset 00020b08 fffffa80`0c74fb50 - fffffa80`0c74fff7 at offset 00020b30 fffff880`03b9c000 - fffff880`03ba1fff at offset 00020fd8 fffffa80`0c74f660 - fffffa80`0c74fb07 at offset 00026fd8 fffff880`03ba3000 - fffff880`03ba8fff at offset 00027480 fffffa80`0c74e040 - fffffa80`0c74e4e7 at offset 0002d480 fffff880`03baa000 - fffff880`03baffff at offset 0002d928 fffffa80`0c74eb50 - fffffa80`0c74eff7 at offset 00033928 fffff880`03bb1000 - fffff880`03bb6fff at offset 00033dd0 fffffa80`0c74e660 - fffffa80`0c74eb07 at offset 00039dd0 fffff880`03bb8000 - fffff880`03bbdfff at offset 0003a278 fffffa80`0c74d040 - fffffa80`0c74d4e7 at offset 00040278 fffff880`03bbf000 - fffff880`03bc4fff at offset 00040720 fffffa80`0c74db50 - fffffa80`0c74dff7 at offset 00046720 fffff880`03bc6000 - fffff880`03bcbfff at offset 00046bc8 fffffa80`0c74d660 - fffffa80`0c74db07 at offset 0004cbc8 fffff880`03bcd000 - fffff880`03bd2fff at offset 0004d070 fffffa80`0c74c040 - fffffa80`0c74c4e7 at offset 00053070 fffff880`03bd4000 - fffff880`03bd9fff at offset 00053518 fffffa80`0c74cb50 - fffffa80`0c74cff7 at offset 00059518 fffff880`03bdb000 - fffff880`03be0fff at offset 000599c0 fffffa80`0c74c660 - fffffa80`0c74cb07 at offset 0005f9c0 fffff880`03be2000 - fffff880`03be7fff at offset 0005fe68 fffffa80`0c74b040 - fffffa80`0c74b4e7 at offset 00065e68 fffff880`03be9000 - fffff880`03beefff at offset 00066310 fffffa80`0c74bb50 - fffffa80`0c74bff7 at offset 0006c310 fffff880`03bf0000 - fffff880`03bf5fff at offset 0006c7b8 fffffa80`0c74b660 - fffffa80`0c74bb07 at offset 000727b8 fffff880`03bf7000 - fffff880`03bfcfff at offset 00072c60 fffffa80`0c756040 - fffffa80`0c7564e7 at offset 00078c60 fffff880`03d03000 - fffff880`03d08fff at offset 00079108 fffffa80`0c756b50 - fffffa80`0c756ff7 at offset 0007f108 fffff880`03d0a000 - fffff880`03d0ffff at offset 0007f5b0 fffffa80`0c756660 - fffffa80`0c756b07 at offset 000855b0 fffff880`03d11000 - fffff880`03d16fff at offset 00085a58 fffffa80`0c74a660 - fffffa80`0c74ab07 at offset 0008ba58 fffff880`009f5000 - fffff880`009fafff at offset 0008bf00 fffffa80`0c74ab50 - fffffa80`0c74aff7 at offset 00091f00 fffff880`009ee000 - fffff880`009f3fff at offset 000923a8 fffffa80`0c8d6b50 - fffffa80`0c8d6ff7 at offset 000983a8 fffff880`09184000 - fffff880`09189fff at offset 00098850 fffffa80`25434060 - fffffa80`25434507 at offset 0009e850 fffff880`09295000 - fffff880`0929afff at offset 0009ecf8 fffffa80`1004bb50 - fffffa80`1004bff7 at offset 000a4cf8 fffff880`059f9000 - fffff880`059fefff at offset 000a51a0 fffffa80`11a2bad0 - fffffa80`11a2bf77 at offset 000ab1a0 fffff880`092db000 - fffff880`092e0fff at offset 000ab648 fffffa80`10015b50 - fffffa80`10015ff7 at offset 000b1648 fffff880`092b1000 - fffff880`092b6fff at offset 000b1af0 fffffa80`10c189f0 - fffffa80`10c18e97 at offset 000b7af0 fffff880`091bf000 - fffff880`091c4fff at offset 000b7f98 fffff8a0`03d6d5a2 - fffff8a0`03d6d5a1 at offset 000bdf98 fffff8a0`02d26c32 - fffff8a0`02d26c31 at offset 000bdf98 fffff8a0`00217462 - fffff8a0`00217461 at offset 000bdf98 fffff800`00b9a3c0 - fffff800`00b9a3bf at offset 000bdf98 fffffa80`16503530 - fffffa80`16503767 at offset 000bdf98 fffffa80`0fe5ed60 - fffffa80`0fe5ef4f at offset 000be1d0 fffff800`03891ce0 - fffff800`03891d7b at offset 000be3c0 fffff800`03879b48 - fffff800`03879b4b at offset 000be45c fffff800`03879b44 - fffff800`03879b47 at offset 000be460 fffff800`03802ba0 - fffff800`03802c9f at offset 000be464 fffffa80`0c794000 - fffffa80`0c794fff at offset 000be564 fffff800`00b9a000 - fffff800`00b9afff at offset 000bf564 fffffa80`0fe5e000 - fffffa80`0fe5efff at offset 000c0564 fffff800`038c8600 - fffff800`038c8603 at offset 000c1564 fffff800`038c8200 - fffff800`038c82ef at offset 000c1568 fffff800`038fb07c - fffff800`038fb07f at offset 000c1658 fffff800`038fb068 - fffff800`038fb06b at offset 000c165c fffffa80`0c705160 - fffffa80`0c705347 at offset 000c1660 fffffa80`11e75d00 - fffffa80`11e75d47 at offset 000c1848 fffffa80`1872cf10 - fffffa80`1872ef0f at offset 000c1890 fffff800`03865280 - fffff800`03865287 at offset 000c3890 fffff800`03865288 - fffff800`0386528f at offset 000c3898 fffffa80`11e75000 - fffffa80`11e75fff at offset 000c38a0 fffff800`03869000 - fffff800`03869fff at offset 000c48a0 fffff800`036c3000 - fffff800`036c3fff at offset 000c58a0 Max offset c68a0, 2c3e0 from end of file Windows 7 Kernel Version 7601 (Service Pack 1) MP (4 procs) Free x64 Product: WinNt, suite: TerminalServer SingleUserTS Built by: 7601.18526.amd64fre.win7sp1_gdr.140706-1506 Machine Name: Kernel base = 0xfffff800`0364e000 PsLoadedModuleList = 0xfffff800`03891890 Debug session time: Wed Nov 26 22:40:19.853 2014 (UTC + 9:00) System Uptime: 0 days 12:48:36.680 start end module name fffff800`00bcf000 fffff800`00bd9000 kdcom Sun Feb 06 01:52:49 2011 (4D4D8061) fffff800`03605000 fffff800`0364e000 hal Sat Nov 20 22:00:25 2010 (4CE7C669) fffff800`0364e000 fffff800`03c33000 nt Mon Jul 07 09:57:23 2014 (53B9F073) fffff880`00c00000 fffff880`00c5c000 volmgrx Sat Nov 20 18:20:43 2010 (4CE792EB) fffff880`00c5c000 fffff880`00c79000 NEOFLTR_740_30611 Wed Apr 09 19:18:58 2014 (53451E92) fffff880`00c91000 fffff880`00ce0000 mcupdate_GenuineIntel Sat Nov 20 22:03:51 2010 (4CE7C737) fffff880`00ce0000 fffff880`00cf4000 PSHED Tue Jul 14 10:32:23 2009 (4A5BE027) fffff880`00cf4000 fffff880`00d52000 CLFS Tue Jul 14 08:19:57 2009 (4A5BC11D) fffff880`00d52000 fffff880`00dc7000 CI Fri Jun 27 11:04:21 2014 (53ACD125) fffff880`00e00000 fffff880`00e09000 compbatt Tue Jul 14 08:31:02 2009 (4A5BC3B6) fffff880`00e09000 fffff880`00e15000 BATTC Tue Jul 14 08:31:01 2009 (4A5BC3B5) fffff880`00e15000 fffff880`00e2a000 volmgr Sat Nov 20 18:19:28 2010 (4CE792A0) fffff880`00e2a000 fffff880`00e44000 mountmgr Sat Nov 20 18:19:21 2010 (4CE79299) fffff880`00e5d000 fffff880`00f1f000 Wdf01000 Sat Jun 22 12:13:05 2013 (51C51641) fffff880`00f1f000 fffff880`00f2f000 WDFLDR Thu Jul 26 11:29:04 2012 (5010AB70) fffff880`00f2f000 fffff880`00f86000 ACPI Sat Nov 20 18:19:16 2010 (4CE79294) fffff880`00f86000 fffff880`00f8f000 WMILIB Tue Jul 14 08:19:51 2009 (4A5BC117) fffff880`00f8f000 fffff880`00f99000 msisadrv Tue Jul 14 08:19:26 2009 (4A5BC0FE) fffff880`00f99000 fffff880`00fcc000 pci Sat Nov 20 18:19:11 2010 (4CE7928F) fffff880`00fcc000 fffff880`00fd9000 vdrvroot Tue Jul 14 09:01:31 2009 (4A5BCADB) fffff880`00fd9000 fffff880`00fe3000 iusb3hcs Fri Feb 22 21:36:29 2013 (5127664D) fffff880`00fe3000 fffff880`00ff8000 partmgr Sat Mar 17 14:06:09 2012 (4F641BC1) fffff880`01000000 fffff880`0104c000 fltmgr Sat Nov 20 18:19:24 2010 (4CE7929C) fffff880`0104c000 fffff880`01060000 fileinfo Tue Jul 14 08:34:25 2009 (4A5BC481) fffff880`01060000 fffff880`01090000 CLASSPNP Sat Nov 20 18:19:23 2010 (4CE7929B) fffff880`0109b000 fffff880`011b9000 iaStorV Fri Jun 11 09:46:19 2010 (4C11875B) fffff880`011b9000 fffff880`011c4000 amdxata Sat Mar 20 01:18:18 2010 (4BA3A3CA) fffff880`011c4000 fffff880`011e6000 tdx Sat Nov 20 18:21:54 2010 (4CE79332) fffff880`01211000 fffff880`013ba000 Ntfs Fri Jan 24 10:14:50 2014 (52E1BE8A) fffff880`013ba000 fffff880`013f4000 fvevol Thu Jan 24 12:11:24 2013 (5100A65C) fffff880`01400000 fffff880`0144c000 volsnap Sat Nov 20 18:20:08 2010 (4CE792C8) fffff880`0144c000 fffff880`01486000 rdyboost Sat Nov 20 18:43:10 2010 (4CE7982E) fffff880`01486000 fffff880`0148f000 hwpolicy Sat Nov 20 18:18:54 2010 (4CE7927E) fffff880`0149a000 fffff880`014f8000 msrpc Sat Nov 20 18:21:56 2010 (4CE79334) fffff880`014f8000 fffff880`01513000 ksecdd Sat Apr 12 10:08:30 2014 (5348920E) fffff880`01513000 fffff880`01585000 cng Thu Aug 02 00:48:07 2012 (50194FB7) fffff880`01585000 fffff880`01596000 pcw Tue Jul 14 08:19:27 2009 (4A5BC0FF) fffff880`01596000 fffff880`015a0000 Fs_Rec Thu Mar 01 12:41:06 2012 (4F4EEFD2) fffff880`015a0000 fffff880`015e9000 tmcomm Tue Dec 03 17:56:28 2013 (529D9CBC) fffff880`015e9000 fffff880`015ff000 disk Tue Jul 14 08:19:57 2009 (4A5BC11D) fffff880`01600000 fffff880`01660000 NETIO Tue Nov 26 19:21:01 2013 (5294760D) fffff880`01660000 fffff880`0168c000 ksecpkg Tue Oct 14 10:08:32 2014 (543C7790) fffff880`0168c000 fffff880`016d5000 fwpkclnt Sat Apr 05 10:23:21 2014 (533F5B09) fffff880`016d5000 fffff880`016e5000 vmstorfl Sat Nov 20 18:57:30 2010 (4CE79B8A) fffff880`016e5000 fffff880`016ee000 stdcfltn Sat Jul 16 13:31:13 2011 (4E211411) fffff880`016ee000 fffff880`016f6000 spldr Tue May 12 01:56:27 2009 (4A0858BB) fffff880`016fb000 fffff880`017ed000 ndis Thu Aug 23 00:11:46 2012 (5034F6B2) fffff880`017ed000 fffff880`017ff000 mup Tue Jul 14 08:23:45 2009 (4A5BC201) fffff880`01801000 fffff880`01a00000 tcpip Sat Apr 05 10:26:44 2014 (533F5BD4) fffff880`02600000 fffff880`0269d000 ATSwpWDF Sat Dec 24 10:11:00 2011 (4EF526A4) fffff880`026bc000 fffff880`026df000 luafv Tue Jul 14 08:26:13 2009 (4A5BC295) fffff880`026df000 fffff880`026ed000 hidusb Sat Nov 20 19:43:49 2010 (4CE7A665) fffff880`026ed000 fffff880`02706000 HIDCLASS Wed Jul 03 13:05:05 2013 (51D3A2F1) fffff880`02706000 fffff880`0270e080 HIDPARSE Wed Jul 03 13:05:04 2013 (51D3A2F0) fffff880`0270f000 fffff880`0271c000 mouhid Tue Jul 14 09:00:20 2009 (4A5BCA94) fffff880`0271c000 fffff880`0272a000 kbdhid Sat Nov 20 19:33:25 2010 (4CE7A3F5) fffff880`0272a000 fffff880`0273f000 lltdio Tue Jul 14 09:08:50 2009 (4A5BCC92) fffff880`0273f000 fffff880`02792000 nwifi Tue Jul 14 09:07:23 2009 (4A5BCC3B) fffff880`02792000 fffff880`027a5000 ndisuio Sat Nov 20 19:50:08 2010 (4CE7A7E0) fffff880`027a5000 fffff880`027bd000 rspndr Tue Jul 14 09:08:50 2009 (4A5BCC92) fffff880`03000000 fffff880`0304e000 mrxsmb10 Sat Jul 09 11:46:28 2011 (4E17C104) fffff880`0304e000 fffff880`03072000 mrxsmb20 Wed Apr 27 11:39:37 2011 (4DB781E9) fffff880`030c2000 fffff880`0318b000 HTTP Sat Nov 20 18:24:30 2010 (4CE793CE) fffff880`0318b000 fffff880`031a9000 bowser Wed Feb 23 13:55:04 2011 (4D649328) fffff880`031a9000 fffff880`031c1000 mpsdrv Tue Jul 14 09:08:25 2009 (4A5BCC79) fffff880`031c1000 fffff880`031ee000 mrxsmb Wed Apr 27 11:40:38 2011 (4DB78226) fffff880`0362a000 fffff880`036b3000 afd Fri May 30 15:45:48 2014 (5388291C) fffff880`036b3000 fffff880`036f8000 netbt Sat Nov 20 18:23:18 2010 (4CE79386) fffff880`036f8000 fffff880`03701000 wfplwf Tue Jul 14 09:09:26 2009 (4A5BCCB6) fffff880`03701000 fffff880`03727000 pacer Sat Nov 20 19:52:18 2010 (4CE7A862) fffff880`03727000 fffff880`0373d000 vwififlt Tue Jul 14 09:07:22 2009 (4A5BCC3A) fffff880`0373d000 fffff880`0374c000 netbios Tue Jul 14 09:09:26 2009 (4A5BCCB6) fffff880`0374c000 fffff880`03766000 tmevtmgr Tue Dec 03 17:56:24 2013 (529D9CB8) fffff880`03766000 fffff880`0378b000 tmactmon Tue Dec 03 17:56:36 2013 (529D9CC4) fffff880`0378b000 fffff880`037a6000 wanarp Sat Nov 20 19:52:36 2010 (4CE7A874) fffff880`037a6000 fffff880`037cc000 VBoxUSBMon Sat Oct 11 20:26:22 2014 (543913DE) fffff880`04800000 fffff880`0480d000 TDI Sat Nov 20 18:22:06 2010 (4CE7933E) fffff880`0480d000 fffff880`0492b000 dump_iaStorV Fri Jun 11 09:46:19 2010 (4C11875B) fffff880`04949000 fffff880`04973000 cdrom Sat Nov 20 18:19:20 2010 (4CE79298) fffff880`04973000 fffff880`0497c000 Null Tue Jul 14 08:19:37 2009 (4A5BC109) fffff880`0497c000 fffff880`04983000 Beep Tue Jul 14 09:00:13 2009 (4A5BCA8D) fffff880`04983000 fffff880`04991000 vga Tue Jul 14 08:38:47 2009 (4A5BC587) fffff880`04991000 fffff880`049b6000 VIDEOPRT Tue Jul 14 08:38:51 2009 (4A5BC58B) fffff880`049b6000 fffff880`049c6000 watchdog Tue Jul 14 08:37:35 2009 (4A5BC53F) fffff880`049c6000 fffff880`049cf000 RDPCDD Tue Jul 14 09:16:34 2009 (4A5BCE62) fffff880`049cf000 fffff880`049d8000 rdpencdd Tue Jul 14 09:16:34 2009 (4A5BCE62) fffff880`049d8000 fffff880`049e1000 rdprefmp Tue Jul 14 09:16:35 2009 (4A5BCE63) fffff880`049e1000 fffff880`049ec000 Msfs Tue Jul 14 08:19:47 2009 (4A5BC113) fffff880`049ec000 fffff880`049fd000 Npfs Tue Jul 14 08:19:48 2009 (4A5BC114) fffff880`04a3c000 fffff880`04b21000 VBoxDrv Sat Oct 11 20:28:48 2014 (54391470) fffff880`04b21000 fffff880`04b3d000 tmtdi Tue Aug 23 00:21:54 2011 (4E527412) fffff880`04b3d000 fffff880`04b51000 termdd Sat Nov 20 20:03:40 2010 (4CE7AB0C) fffff880`04b51000 fffff880`04ba2000 rdbss Sat Nov 20 18:27:51 2010 (4CE79497) fffff880`04ba2000 fffff880`04bae000 nsiproxy Tue Jul 14 08:21:02 2009 (4A5BC15E) fffff880`04bae000 fffff880`04bb9000 mssmbios Tue Jul 14 08:31:10 2009 (4A5BC3BE) fffff880`04bb9000 fffff880`04bc5000 ElbyCDIO Mon Mar 04 18:21:51 2013 (513467AF) fffff880`04bc5000 fffff880`04bd4000 discache Tue Jul 14 08:37:18 2009 (4A5BC52E) fffff880`04c00000 fffff880`04cf5000 dxgkrnl Mon Jun 16 09:58:04 2014 (539E411C) fffff880`04cfc000 fffff880`04d7f000 csc Sat Nov 20 18:27:12 2010 (4CE79470) fffff880`04d7f000 fffff880`04d9d000 dfsc Sat Nov 20 18:26:31 2010 (4CE79447) fffff880`04d9d000 fffff880`04dae000 blbdrive Tue Jul 14 08:35:59 2009 (4A5BC4DF) fffff880`04dae000 fffff880`04dd4000 tunnel Sat Nov 20 19:51:50 2010 (4CE7A846) fffff880`04dd4000 fffff880`04dfc000 VBoxNetAdp Sat Oct 11 20:26:22 2014 (543913DE) fffff880`04e00000 fffff880`04e43000 ks Sat Nov 20 19:33:23 2010 (4CE7A3F3) fffff880`04e43000 fffff880`04e67000 rasl2tp Sat Nov 20 19:52:34 2010 (4CE7A872) fffff880`04e67000 fffff880`04e72000 rdpbus Tue Jul 14 09:17:46 2009 (4A5BCEAA) fffff880`04e7a000 fffff880`04f3f000 iusb3xhc Fri Feb 22 21:33:45 2013 (512765A9) fffff880`04f3f000 fffff880`04f40e80 USBD Wed Nov 27 10:41:03 2013 (52954DAF) fffff880`04f41000 fffff880`04f54000 HECIx64 Tue Dec 18 04:32:21 2012 (50CF7345) fffff880`04f54000 fffff880`04f66000 usbehci Wed Nov 27 10:41:11 2013 (52954DB7) fffff880`04f66000 fffff880`04fbc000 USBPORT Wed Nov 27 10:41:11 2013 (52954DB7) fffff880`04fbc000 fffff880`04fe0000 HDAudBus Sat Nov 20 19:43:42 2010 (4CE7A65E) fffff880`04fe0000 fffff880`04ffb000 raspppoe Tue Jul 14 09:10:17 2009 (4A5BCCE9) fffff880`05200000 fffff880`0522f000 ndiswan Sat Nov 20 19:52:32 2010 (4CE7A870) fffff880`0522f000 fffff880`05250000 raspptp Sat Nov 20 19:52:31 2010 (4CE7A86F) fffff880`05250000 fffff880`0526a000 rassstp Tue Jul 14 09:10:25 2009 (4A5BCCF1) fffff880`0526a000 fffff880`05278000 VClone Thu Jul 25 00:02:55 2013 (51EFEC9F) fffff880`05278000 fffff880`057941c0 igdkmd64 Sat Feb 23 06:49:20 2013 (5127E7E0) fffff880`05795000 fffff880`057db000 dxgmms1 Wed Apr 10 12:27:15 2013 (5164DC13) fffff880`05c00000 fffff880`05c35000 exfat Tue Jul 14 08:23:29 2009 (4A5BC1F1) fffff880`05c71000 fffff880`05c8a000 WudfPf Thu Jul 26 11:26:45 2012 (5010AAE5) fffff880`05c90000 fffff880`05d3a000 peauth Mon Jul 07 10:52:40 2014 (53B9FD68) fffff880`05d3a000 fffff880`05d45000 secdrv Wed Sep 13 22:18:38 2006 (4508052E) fffff880`05d45000 fffff880`05d76000 srvnet Fri Apr 29 12:05:35 2011 (4DBA2AFF) fffff880`05d76000 fffff880`05d88000 tcpipreg Thu Oct 04 01:07:26 2012 (506C62BE) fffff880`05d88000 fffff880`05df1000 srv2 Fri Apr 29 12:05:46 2011 (4DBA2B0A) fffff880`06000000 fffff880`0606c000 b57nd60a Wed Aug 24 12:41:33 2011 (4E5472ED) fffff880`0606c000 fffff880`0608a000 i8042prt Tue Jul 14 08:19:57 2009 (4A5BC11D) fffff880`0608a000 fffff880`06099000 kbdclass Tue Jul 14 08:19:50 2009 (4A5BC116) fffff880`06099000 fffff880`060a8000 mouclass Tue Jul 14 08:19:50 2009 (4A5BC116) fffff880`060a8000 fffff880`060c5000 parport Tue Jul 14 09:00:40 2009 (4A5BCAA8) fffff880`060c5000 fffff880`060df000 ST_Accel Thu Mar 28 07:59:32 2013 (515379D4) fffff880`060e0000 fffff880`0656a000 bcmwl664 Thu Oct 27 11:45:09 2011 (4EA8C5B5) fffff880`0656a000 fffff880`06577000 vwifibus Tue Jul 14 09:07:21 2009 (4A5BCC39) fffff880`06577000 fffff880`06597000 sdbus Sat Nov 20 18:37:42 2010 (4CE796E6) fffff880`06597000 fffff880`065ad000 intelppm Tue Jul 14 08:19:25 2009 (4A5BC0FD) fffff880`065ad000 fffff880`065b6000 wmiacpi Tue Jul 14 08:31:02 2009 (4A5BC3B6) fffff880`065b6000 fffff880`065ba500 CmBatt Tue Jul 14 08:31:03 2009 (4A5BC3B7) fffff880`065bb000 fffff880`065c3000 serscan Tue Jul 14 09:35:32 2009 (4A5BD2D4) fffff880`065c3000 fffff880`065c8200 ksthunk Tue Jul 14 09:00:19 2009 (4A5BCA93) fffff880`065c9000 fffff880`065d9000 CompositeBus Sat Nov 20 19:33:17 2010 (4CE7A3ED) fffff880`065d9000 fffff880`065ef000 AgileVpn Tue Jul 14 09:10:24 2009 (4A5BCCF0) fffff880`065ef000 fffff880`065fb000 ndistapi Tue Jul 14 09:10:00 2009 (4A5BCCD8) fffff880`06631000 fffff880`066bd000 stwrt64 Fri Aug 16 19:26:26 2013 (520DFE52) fffff880`066bd000 fffff880`066fa000 portcls Fri Oct 04 10:36:02 2013 (524E1B82) fffff880`066fa000 fffff880`0671c000 drmk Fri Oct 04 11:16:30 2013 (524E24FE) fffff880`0671c000 fffff880`06774000 IntcDAud Tue Jun 19 23:40:51 2012 (4FE08F73) fffff880`06774000 fffff880`06780000 Dxapi Tue Jul 14 08:38:28 2009 (4A5BC574) fffff880`06780000 fffff880`0678e000 crashdmp Tue Jul 14 09:01:01 2009 (4A5BCABD) fffff880`0678e000 fffff880`067a1000 dump_dumpfve Tue Jul 14 08:21:51 2009 (4A5BC18F) fffff880`067a1000 fffff880`067af000 monitor Tue Jul 14 08:38:52 2009 (4A5BC58C) fffff880`0683a000 fffff880`06870000 fastfat Tue Jul 14 08:23:28 2009 (4A5BC1F0) fffff880`06870000 fffff880`068c6000 tmnciesc Wed May 15 19:23:21 2013 (51936219) fffff880`068c6000 fffff880`068e3000 tmeevw Thu Jun 13 15:25:31 2013 (51B965DB) fffff880`068e3000 fffff880`068ee000 asyncmac Tue Jul 14 09:10:13 2009 (4A5BCCE5) fffff880`068f3000 fffff880`0698b000 srv Fri Apr 29 12:06:06 2011 (4DBA2B1E) fffff880`0698b000 fffff880`06994000 BCM42RLY Mon Jun 11 18:18:06 2012 (4FD5B7CE) fffff880`06994000 fffff880`069c2000 rdpdr Sat Nov 20 20:06:41 2010 (4CE7ABC1) fffff880`069dc000 fffff880`069f9000 cdfs Tue Jul 14 08:19:46 2009 (4A5BC112) fffff880`07200000 fffff880`0725d000 iusb3hub Fri Feb 22 21:33:42 2013 (512765A6) fffff880`072ad000 fffff880`07311000 storport Tue Feb 04 10:36:50 2014 (52F04432) fffff880`07311000 fffff880`0733c000 VBoxNetFlt Sat Oct 11 20:26:22 2014 (543913DE) fffff880`0733c000 fffff880`0733d480 swenum Tue Jul 14 09:00:18 2009 (4A5BCA92) fffff880`0733e000 fffff880`07350000 umbus Sat Nov 20 19:44:37 2010 (4CE7A695) fffff880`07350000 fffff880`073aa000 usbhub Wed Nov 27 10:41:36 2013 (52954DD0) fffff880`073aa000 fffff880`073bf000 NDProxy Sat Nov 20 19:52:20 2010 (4CE7A864) fffff960`00020000 fffff960`00342000 win32k unavailable (00000000) fffff960`00500000 fffff960`0050a000 TSDDD unavailable (00000000) fffff960`00780000 fffff960`007a7000 cdd unavailable (00000000) Unloaded modules: fffff880`069c2000 fffff880`069cd000 tdtcp.sys Timestamp: unavailable (00000000) Checksum: 00000000 ImageSize: 0000B000 fffff880`06800000 fffff880`0683a000 RDPWD.SYS Timestamp: unavailable (00000000) Checksum: 00000000 ImageSize: 0003A000 fffff880`069cd000 fffff880`069dc000 tssecsrv.sys Timestamp: unavailable (00000000) Checksum: 00000000 ImageSize: 0000F000 fffff880`05c36000 fffff880`05c51000 USBSTOR.SYS Timestamp: unavailable (00000000) Checksum: 00000000 ImageSize: 0001B000 fffff880`05c00000 fffff880`05c36000 WUDFRd.sys Timestamp: unavailable (00000000) Checksum: 00000000 ImageSize: 00036000 fffff880`05c51000 fffff880`05c6c000 USBSTOR.SYS Timestamp: unavailable (00000000) Checksum: 00000000 ImageSize: 0001B000 fffff880`05c1b000 fffff880`05c51000 WUDFRd.sys Timestamp: unavailable (00000000) Checksum: 00000000 ImageSize: 00036000 fffff880`05c00000 fffff880`05c1b000 USBSTOR.SYS Timestamp: unavailable (00000000) Checksum: 00000000 ImageSize: 0001B000 fffff880`02600000 fffff880`0269d000 ATSwpWDF.sys Timestamp: unavailable (00000000) Checksum: 00000000 ImageSize: 0009D000 fffff880`0261f000 fffff880`026bc000 ATSwpWDF.sys Timestamp: unavailable (00000000) Checksum: 00000000 ImageSize: 0009D000 fffff880`069dc000 fffff880`069e8000 pcdsrvc_x64. Timestamp: unavailable (00000000) Checksum: 00000000 ImageSize: 0000C000 fffff880`09c13000 fffff880`0a1e7000 iqvw64e.sys Timestamp: unavailable (00000000) Checksum: 00000000 ImageSize: 005D4000 fffff880`05c00000 fffff880`05c71000 spsys.sys Timestamp: unavailable (00000000) Checksum: 00000000 ImageSize: 00071000 fffff880`01200000 fffff880`0120e000 crashdmp.sys Timestamp: unavailable (00000000) Checksum: 00000000 ImageSize: 0000E000 fffff880`04818000 fffff880`04936000 dump_iaStorV Timestamp: unavailable (00000000) Checksum: 00000000 ImageSize: 0011E000 fffff880`04936000 fffff880`04949000 dump_dumpfve Timestamp: unavailable (00000000) Checksum: 00000000 ImageSize: 00013000 ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* Use !analyze -v to get detailed debugging information. BugCheck 9F, {3, fffffa800c794700, fffff80000b9a3d8, fffffa800fe5ed60} Probably caused by : ntkrnlmp Followup: MachineOwner --------- Finished dump check C:\>
VBoxNetAdp.sysのロードには失敗しているが、それ以外は問題なく動いているようだ。
しかしながら、残念なことにntkrnlmp.exeのプロセスで問題が起きていることまでしか分からない。というかntkrnlmp.exeってカーネルでしょうに。
「詳細を見たければ !analyze -v を使え」と表示されているが、dumpchk.exeは対話型のツールではないので、いつ、どのように実行すればよいのか不明だ。うーん不親切だなあ。
windbg.exeによる解析
「!analyze -v」は、kd.exeやwindbg.exe(どちらもWindowsのカーネル・デバッガ)のコマンドだ。ということは、dumpchk.exeではなくkd.exe/windbg.exeで解析すればよさそうだ。
今回もネットの情報を参考に、こんな感じで実行。
C:\>C:\WinDDK\7600.16385.1\Debuggers\windbg.exe -y "symsrv*symsrv.dll*c:\tmp\sym*http://msdl.microsoft.com/download/symbols" -z C:\Windows\Minidump\112614-36395-01.dmp
GUIのようなCUIのようなデバッグウィンドウが表示された。
Microsoft (R) Windows Debugger Version 6.12.0002.633 AMD64 Copyright (c) Microsoft Corporation. All rights reserved. Loading Dump File [C:\Windows\Minidump\112614-36395-01.dmp] Mini Kernel Dump File: Only registers and stack trace are available DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?00000000`00000000? DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?00000000`00000000? DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?fffff8a0`03d6d5a2? DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?fffff8a0`02d26c32? DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?fffff8a0`00217462? DbsSplayTreeRangeMap::Add: ignoring zero-sized range at ?fffff800`00b9a3c0? Symbol search path is: symsrv*symsrv.dll*c:\tmp\sym*http://msdl.microsoft.com/download/symbols Executable search path is: Windows 7 Kernel Version 7601 (Service Pack 1) MP (4 procs) Free x64 Product: WinNt, suite: TerminalServer SingleUserTS Built by: 7601.18526.amd64fre.win7sp1_gdr.140706-1506 Machine Name: Kernel base = 0xfffff800`0364e000 PsLoadedModuleList = 0xfffff800`03891890 Debug session time: Wed Nov 26 22:40:19.853 2014 (UTC + 9:00) System Uptime: 0 days 12:48:36.680 Loading Kernel Symbols ............................................................... ................................................................ ......................................... Loading User Symbols Loading unloaded module list ................ ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* Use !analyze -v to get detailed debugging information. BugCheck 9F, {3, fffffa800c794700, fffff80000b9a3d8, fffffa800fe5ed60} Unable to load image \SystemRoot\system32\DRIVERS\VBoxNetAdp.sys, Win32 error 0n2 *** WARNING: Unable to verify timestamp for VBoxNetAdp.sys *** ERROR: Module load completed but symbols could not be loaded for VBoxNetAdp.sys Probably caused by : ntkrnlmp Followup: MachineOwner ---------
dumpchk.exeの時と同様に、VBoxNetAdp.sysのロードには失敗しているが、それ以外は問題なく動いているようだ。
「!analyze -v」を実行してみた。
0: kd> !analyze -v ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* DRIVER_POWER_STATE_FAILURE (9f) A driver is causing an inconsistent power state. Arguments: Arg1: 0000000000000003, A device object has been blocking an Irp for too long a time Arg2: fffffa800c794700, Physical Device Object of the stack Arg3: fffff80000b9a3d8, Functional Device Object of the stack Arg4: fffffa800fe5ed60, The blocked IRP Debugging Details: ------------------ DRVPOWERSTATE_SUBCODE: 3 IMAGE_NAME: ntkrnlmp DEBUG_FLR_IMAGE_TIMESTAMP: 0 MODULE_NAME: ntkrnlmp FAULTING_MODULE: fffff88004dd4000 VBoxNetAdp IRP_ADDRESS: fffffa800fe5ed60 DEVICE_OBJECT: fffffa800eaee050 DRIVER_OBJECT: fffffa800eadd670 CUSTOMER_CRASH_COUNT: 1 DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULT BUGCHECK_STR: 0x9F PROCESS_NAME: System CURRENT_IRQL: 2 STACK_TEXT: fffff800`00b9a388 fffff800`037338d2 : 00000000`0000009f 00000000`00000003 fffffa80`0c794700 fffff800`00b9a3d8 : nt!KeBugCheckEx fffff800`00b9a390 fffff800`036ce85c : fffff800`00b9a4c0 fffff800`00b9a4c0 00000000`00000000 00000000`00000001 : nt! ?? ::FNODOBFM::`string'+0x33af0 fffff800`00b9a430 fffff800`036ce6f6 : fffffa80`14f32ae0 fffffa80`14f32ae0 00000000`00000000 00000000`00000000 : nt!KiProcessTimerDpcTable+0x6c fffff800`00b9a4a0 fffff800`036ce5de : 0000006b`5faf0b8c fffff800`00b9ab18 00000000`002d1b92 fffff800`038424c8 : nt!KiProcessExpiredTimerList+0xc6 fffff800`00b9aaf0 fffff800`036ce3c7 : 0000001c`3857a3c2 0000001c`002d1b92 0000001c`3857a3ee 00000000`00000092 : nt!KiTimerExpiration+0x1be fffff800`00b9ab90 fffff800`036bb8ca : fffff800`0383ee80 fffff800`0384ccc0 00000000`00000002 fffff880`00000000 : nt!KiRetireDpcList+0x277 fffff800`00b9ac40 00000000`00000000 : fffff800`00b9b000 fffff800`00b95000 fffff800`00b9ac00 00000000`00000000 : nt!KiIdleLoop+0x5a STACK_COMMAND: kb FOLLOWUP_NAME: MachineOwner FAILURE_BUCKET_ID: X64_0x9F_3_IMAGE_ntkrnlmp BUCKET_ID: X64_0x9F_3_IMAGE_ntkrnlmp Followup: MachineOwner ---------
FAULTING_MODULEとしてVBoxNetAdpが挙げられている。カーネル(ntkrnlmp.exe)の中で、VBoxNetAdpで問題が起きているようだ。VBoxNetAdpは、(名前からVirtualBox関連の何かだと想像がつくが)WER-40207557-0.sysdata.xmlによれば「VirtualBox Host-Only Ethernet Adapter」のことだ。
最後に、こんなページを見つけたので、見よう見まねでもう一コマンド。「!analyze -v」の内容によれば、BCP4の「fffffa800fe5ed60」は「The blocked IRP」を意味するようなので、その詳細を見てみた。
0: kd> !irp fffffa80`0fe5ed60 1 Irp is active with 3 stacks 2 is current (= 0xfffffa800fe5ee78) No Mdl: No System Buffer: Thread 00000000: Irp stack trace. Flags = 00000000 ThreadListEntry.Flink = fffffa800fe5ed80 ThreadListEntry.Blink = fffffa800fe5ed80 IoStatus.Status = c00000bb IoStatus.Information = 00000000 RequestorMode = 00000000 Cancel = 00 CancelIrql = 0 ApcEnvironment = 00 UserIosb = 00000000 UserEvent = 00000000 Overlay.AsynchronousParameters.UserApcRoutine = 00000000 Overlay.AsynchronousParameters.UserApcContext = 00000000 Overlay.AllocationSize = 00000000 - 00000000 CancelRoutine = 00000000 UserBuffer = 00000000 &Tail.Overlay.DeviceQueueEntry = fffffa800fe5edd8 Tail.Overlay.Thread = 00000000 Tail.Overlay.AuxiliaryBuffer = 00000000 Tail.Overlay.ListEntry.Flink = fffffa801034f318 Tail.Overlay.ListEntry.Blink = fffff80003873d20 Tail.Overlay.CurrentStackLocation = fffffa800fe5ee78 Tail.Overlay.OriginalFileObject = 00000000 Tail.Apc = 00000000 Tail.CompletionKey = 00000000 cmd flg cl Device File Completion-Context [ 0, 0] 0 0 00000000 00000000 00000000-00000000 Args: 00000000 00000000 00000000 00000000 >[ 16, 3] 0 e1 fffffa800eaee050 00000000 fffff80003910210-fffffa8011e75ce0 Success Error Cancel pending \Driver\VBoxNetAdp nt!PopSystemIrpCompletion Args: 00016600 00000000 00000006 00000006 [ 0, 0] 0 0 00000000 00000000 00000000-fffffa8011e75ce0 Args: 00000000 00000000 00000000 00000000
参照したページによれば、IoStatus.Statusの値c00000bbは「要求されたI/O処理がサポートされていない(らしい)」ということを示しているらしい。
この値に関しては、WDK付属のntstatus.hに説明があった。
// // The success status codes 0 - 63 are reserved for wait completion status. // FacilityCodes 0x5 - 0xF have been allocated by various drivers. // #define STATUS_SUCCESS ((NTSTATUS)0x00000000L) // ntsubauth // // Values are 32 bit values laid out as follows: // // 3 3 2 2 2 2 2 2 2 2 2 2 1 1 1 1 1 1 1 1 1 1 // 1 0 9 8 7 6 5 4 3 2 1 0 9 8 7 6 5 4 3 2 1 0 9 8 7 6 5 4 3 2 1 0 // +---+-+-+-----------------------+-------------------------------+ // |Sev|C|R| Facility | Code | // +---+-+-+-----------------------+-------------------------------+ // // where // // Sev - is the severity code // // 00 - Success // 01 - Informational // 10 - Warning // 11 - Error // // C - is the Customer code flag // // R - is a reserved bit // // Facility - is the facility code // // Code - is the facility's status code //
0xc00000bbを二進数表記にすると「0b11000000_00000000_00000000_10111011」となる。MSB側2bitのSevが0b11なので、エラーを意味する。C、R、Facilityは全て0だ。
LSB側16bitのCodeは0x00bbだ。これについては、そのものズバリの定義があった。
// // Network specific errors. // // // // MessageId: STATUS_NOT_SUPPORTED // // MessageText: // // The request is not supported. // #define STATUS_NOT_SUPPORTED ((NTSTATUS)0xC00000BBL)
なるほど、「要求されたI/O処理がサポートされていない(らしい)」という説明は正しいようだ。
VBoxNetAdpについて
「VirtualBox Host-Only Ethernet Adapter」はVirtualBoxと一緒にインストールされる、仮想ネットワークアダプタ用のデバイスドライバだ。
「VBoxNetAdp FAULTING_MODULE」で検索したら、VirtualBoxのチケットに挙がっていた。
少なくともVirtualBox 4.2.12の頃から発生しているようだ。おそらく使用環境(ハードウェアや他のネットワーク関連ドライバ)とタイミング(必ず発生する訳ではない)に依存する厄介なバグではないかと思われる。うへぇ。
まとめ
手元のPCで発生する「BCCode 9f」の原因は、どうやらVirtualBox用のデバイスドライバの一部が原因であるようだ。
この問題は他のデバイスドライバでも発生しうる。どのデバイスに原因があるのか知りたいのなら、Windowsのカーネルデバッガ(kd.exeやwindbg.exe)を使ってメモリダンプを解析するしかないようだ。
*1:Windows の STOP 0x9F エラー メッセージのトラブルシューティングを参照。
*2:BCCodeはBug Check Codeの、BCP1はBug Check Parameter1の略らしいが、初見でそれが分かったらエスパーだと思う。
*3:112614は2014-11-26を意味している気がする。